Die letzten Jahre und Monate standen stark unter dem Einfluss der Datenschutzgrundverordnung (DSGVO) und waren durch die Anpassung von Prozessen sowie der Erstellung diverser Datenschutzdokumente und -konzepte geprägt. Die Erfahrungen bei der Umsetzung der DSGVO standen daher auch dieses Jahr im Fokus der Fachkonferenz „Datenschutz in der Assekuranz“ der Versicherungsforen Leipzig am 5. und 6. November 2019.
Auch wenn Datenschutz in den deutschen Versicherungsunternehmen schon seit langem Arbeit macht, hat das Thema seit Inkrafttreten der DSGVO noch einmal deutlich an Fahrt aufgenommen. Einer Umfrage des Bitkom zufolge geben über 70 Prozent der Unternehmen an, durch die DSGVO deutlich mehr Aufwand im laufenden Betrieb zu haben. Den größten Aufwand bei der Umsetzung sehen nahezu alle befragten Unternehmen in den neuen Informations- und Dokumentationspflichten. Welche Schmerzpunkte die Versicherer haben und welche Vorgehen gut funktionieren, diskutierten auf der Fachkonferenz der Versicherungsforen Leipzig rund 40 Vertreter der Branche.
Konkrete Erfahrungen zur DSGVO bot unter anderem der Vortrag von Malte-Michael Kaspar (ERGO Direkt). Er berichtete davon, wie die ERGO Direkt mit Datenspannen umgeht und welche dieser der Aufsichtsbehörde gemeldet werden (müssen). Neben der Berichterstattung an die Aufsicht hat die ERGO Direkt auch ein internes Reporting eingeführt. So bekommt der Vorstand monatlich eine Übersicht über die Datenpannen, die quartalsweise persönlich durchgesprochen werden. Aber auch die betroffenen Fachbereiche bekommen von der Datenschutzabteilung einmal im Quartal einen Bericht. Ziel dieses Vorgehens ist die weitere Sensibilisierung der Mitarbeiter gekoppelt mit dem Angebot an Schulungen und weiterer Unterstützung durch den Datenschutz.
Das Thema Datenschutzfolgenabschätzung (DSFA) behandelte der Vortrag von Jens-Jürgen Vogel (Munich Re). Er sieht den Schlüssel zum Erfolg bei der DSFA in der Zusammenarbeit der verschiedenen Abteilungen wie IT-Compliance, Risk Management, IT-Security usw. Die Munich Re hat den Ablauf der DSFA in die Abschnitte „Plan“, „Do, „Check“ und „Act“ unterteilt und arbeitet so die verschiedenen Schritte systematisch ab. So können Prozesse zügig geändert werden.
Einen thematischen Fokus auf neue Technologien setzte der Vortrag von Dr. Alexander Beyer (BLD Bach Langheid Dallmayr Rechtsanwälte). Er führte aus, welche datenschutzrechtlichen Herausforderungen neue Technologien wie künstliche Intelligenz (KI) bergen. Seiner Meinung nach müssen sich Unternehmen früher oder später damit auseinandersetzen, da KI zunehmend an Relevanz gewinnt. Viel rechtliche Prüfungen und Diskussionen werden aber noch geführt werden müssen. Aktuell setzen einige Versicherer KI im Kundenkontakt bereits ein, vorrangig in Form von Chatbots. Die DSGVO gibt allerdings vor, dass beim Einsatz von KI zwingend eine Datenschutzfolgenabschätzung gemacht werden muss. In anderen Fällen, beispielsweise beim Einsatz von KI in der Leistungsbearbeitung oder beim Vertragsschluss müssen noch weitere rechtliche Regelungen beachtet werden. Insgesamt, so Beyer, gibt es keine hinreichend auf KI zugeschnittenen rechtlichen Regelungen. Durch entsprechende Gestaltung der Prozesse ließen sich Risiken jedoch kontrollieren.
In einigen Bereichen müssen sich Unternehmen jedoch verstärkt damit beschäftigen. So argumentierte Jörn Kriegel (Signal Iduna) in Bezug auf den Einsatz von Cloud-Lösungen, speziell Microsoft 365, dass man beispielsweise mit Microsoft einen „Elefant im Raum“ habe, den man nicht weg diskutieren könne. Die neuen Technologien einzusetzen und gleichzeitig alle rechtlichen Anforderungen einzuhalten, sei manchmal nicht so einfach.
Die DSGVO und weitere Datenschutzgesetze eröffnen jedem Unternehmen die Möglichkeit, Datenschutz neu zu definieren, gab Marco Ratzmann (OneTrust) zu Bedenken. Da der Datenschutz technologischen Entwicklungen ständig hinterher renne, wird die DSGVO schon bald nicht mehr ausreichen. Mit der ePrivacy-Verordnung steht die nächste rechtliche Großoffensive in den Startlöchern, um die Lücken, die die DSGVO in Bezug auf technologische Aspekte hat, zu schließen. Ziel sei es aber nicht nur, die bestehenden Regeln an die technische Entwicklung anzupassen, sondern auch das Vertrauen in die Datenwirtschaft weiter zu stärken.
Einblicke in den Ablauf einer Aufsichtsprüfung ermöglichte der Vortrag von Klaus Alpmann (Volkswagen AG), der in seiner Tätigkeit bei MAN eine solche Prüfung betreut hat. Seiner Erfahrung nach geht es bei den Aufsichtsprüfungen vorrangig um die Prüfung auf das datenschutzkonforme Verarbeiten der Daten, den Umgang mit Datenschutzverletzungen sowie den Umgang mit Betroffenenrechten. Während der Prüfung will die Aufsicht, seiner Erfahrung nach, vor allem Umsetzungsmaßnahmen sehen und nicht nur „Papier“. Als Tipp für die anderen Teilnehmer betonte er, den Bereich Human Ressources nicht zu vergessen. Hier würde die Aufsicht mit Sicherheit genauer hingucken.
Auch auf der 8. Fachkonferenz „Datenschutz in der Assekuranz“ zeigte sich, dass die Datenschutzbeauftragten weiterhin vielen großen Herausforderungen gegenüber stehen. Auch wenn man mit dem Code of Conduct dem Thema bereits seit geraumer Zeit viel Beachtung schenkte, hat die DSGVO neue Handlungsfelder aufgetan, die es kontinuierlich zu bearbeiten gilt. So ist der Dauerbrenner „Löschen und Sperren“ vor allem bei der Nachweispflicht bei Aufsichtsprüfungen wieder relevant geworden und bereitet weiterhin Kopfschmerzen. Trotzdem scheint die Branche auf einem guten Weg, den rechtlichen Anforderungen gerecht zu werden.